Разкрити са нови уязвимости в сигурността при електромобилите

Две нови слабости в сигурността, открити в няколко системи за зареждане на електрически превозни средства (EV), могат да бъдат използвани за дистанционно изключване на станциите за зареждане и дори за кражба на данни и енергия.

Откритията, направени от израелската компания SaiFlow, показват още веднъж потенциалните рискове, пред които е изправена инфраструктурата за зареждане на електрически превозни средства.

Проблемите са установени във версия 1.6J на стандарта Open Charge Point Protocol (OCPP), който използва WebSockets за комуникация между зарядните станции за EV и доставчиците на системи за управление на зарядни станции (CSMS). Настоящата версия на OCPP е 2.0.1.

„Стандартът OCPP не определя как CSMS трябва да приема нови връзки от зарядна точка, когато вече има активна връзка“, казват изследователите от SaiFlow Лионел Ричард Сапосник и Дорон Порат.

„Липсата на ясно указание за множество активни връзки може да бъде използвана от нападателите, за да прекъснат и превземат връзката между точката за зареждане и CSMS.“

Това също така означава, че кибернетичен нападател може да фалшифицира връзка от валидно зарядно устройство към неговия доставчик на CSMS, когато то вече е свързано, което на практика води до един от двата сценария:

Състояние на отказ на услуга (DoS), което възниква, когато доставчикът на CSMS затваря оригиналната WebSocket връзка, когато е установена нова връзка
Кражба на информация, която произтича от поддържането на двете връзки живи, но връщащи отговори на „новата“ измамна връзка, което позволява на противника да получи достъп до личните данни на водача, данните за кредитната му карта и данните за CSMS.

Фалшифицирането е възможно поради факта, че доставчиците на CSMS са конфигурирани да разчитат единствено на идентичността на точката за зареждане за удостоверяване.

„Комбинирането на неправилното обработване на нови връзки със слабата политика за удостоверяване на OCPP и идентичностите на зарядните устройства може да доведе до мащабна разпределена DoS (DDoS) атака в мрежата [Electric Vehicle Supply Equipment]“, казват изследователите.

В OCPP 2.0.1 е коригирана политиката за слабо удостоверяване, като се изискват идентификационни данни на точката за зареждане, с което се затваря пропускът. Въпреки това, смекчаващите мерки за случаите, когато има повече от една връзка от една точка за зареждане, трябва да изискват валидиране на връзките чрез изпращане на ping или heartbeat заявка, отбеляза SaiFlow.

„Ако една от връзките не реагира, CSMS трябва да я елиминира“, обясняват изследователите. „Ако и двете връзки реагират, операторът трябва да може да елиминира злонамерената връзка директно или чрез интегриран в CSMS модул за киберсигурност.“

#пробиви в сигурността

The Hacker News

Подобни

Microsoft отстрани критичен бъг в Windows 11

17.02.2026

Google пусна спешна корекция

16.02.2026

Как един WiFi достъп може да отвори врати, гаражи и мрежи

14.02.2026

Apple коригира zero-day уязвимост в dyld

12.02.2026

Критична уязвимост в AI-Notepad за Windows 11

11.02.2026

Zero Trust отвъд мита: #44 Cyber Security Talks Bulgaria събра технологиите, културата и отговорността в едно

11.02.2026

Споделете

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

"Обясняваме сложните неща с прости думи"